LES PIÈGES DU DROIT INFORMATIQUE

Éviter de tomber dans les pièges du droit

Le domaine juridique est souvent le moins bien maîtrisé par les DSI. Pourtant, les risques juridiques sont nombreux, et peuvent avoir des conséquences graves.

« Nul n’est censé ignorer la loi », mais, dans le domaine informatique, il faut bien reconnaître qu’il est parfois difficile de s’y retrouver.

Périodiquement, une revue des aspects juridiques et de la conformité réglementaire de la DSI, par un expert ou un avocat spécialisé, peut se révéler fort utile. Plusieurs domaines doivent être audités de manière régulière, en particulier :

• les relations avec les fournisseurs : rédaction et processus de suivi des contrats, gestion des licences logicielles, gestion de la sous-traitance, gestion et suivi des litiges…
• les activités sur Internet : gestion et le suivi des noms de domaines, respect de la législation concernant Internet et l’e-commerce…
• Les procédures de gestion des Données : procédures prévues en cas de saisie ou de contrôle par une autorité, gestion des données personnelles des Clients et des salariés, durées de conservation-historisation et effacement des données…
• le respect de la législation du travail et les chartes informatiques.
• Les procédures de prévention des risques juridiques liés aux projets.

Graphique : Les principales composantes de l’univers juridique des DSI

Contrats informatiques : vigilance sur la responsabilité et la propriété des livrables

En ce qui concerne la rédaction des contrats informatiques, il est fortement recommandé de se faire assister par un avocat spécialisé. Celui-ci vérifiera l’équilibre de la trentaine de chapitres qui constituent classiquement un contrat.

Pour le DSI, il est notamment important d’avoir formalisé ses propres contrats types pour chaque catégorie de contrat (licence, maintenance, prestations, logiciel en mode SaaS…).

Chaque contrat type peut être utilisé en « clausier » type, permettant de proposer au prestataire une rédaction alternative de certains chapitres, lorsque le contrat proposé par le fournisseur n’est pas acceptable en l’état. En l’absence de contrat type de référence, il sera facile pour le fournisseur d’imposer son contrat, même si celui-ci est déséquilibré et ne défend pas les intérêts de client.

Dans la négociation contractuelle, une attention particulière devra être portée à deux clauses :

• La clause « limite de responsabilité », dans laquelle le fournisseur indique le montant maximum de toute pénalité qu’il pourrait être amené à verser en cas de faute de sa part. Souvent, le prestataire tente de limiter sa responsabilité au montant du contrat, alors qu’il est assuré pour des montants bien supérieurs, ce qui n’est pas acceptable pour le client. De plus, la clause proposée n’est souvent pas réciproque. Dans ce cas, la responsabilité du client peut être illimitée en cas de faute d’un de ses salariés.

• La clause « propriété des livrables », qui limite souvent la propriété du client, et les possibilités dont il dispose pour utiliser les logiciels, documents, et autres livrables dans ses filiales ou pour des sociétés tiers. Par principe, il est important que le client soit propriétaire du résultat des prestations qu’il a intégralement payées, et possède la possibilité de décider librement comment il souhaite utiliser les résultats des études, prestations et logiciels payés au fournisseur.

Données personnelles : de multiples réglementations

La protection des données à caractère personnel ne se limite pas aux déclarations CNIL, et au respect de quelques règles (ne pas enregistrer d’information concernant la race, la religion, etc). Des lors que des données sont échangées au sein de filiales d’un groupe international en dehors de l’union européenne, les règles se compliquent. C’est le cas par exemple lorsque les traitements informatiques d’un groupe sont centralisés dans un datacenter unique.

Dans ce cas, des « Règles internes d’échanges de données » doivent être formalisées. Ces contrats internationaux, appelés BCR (Binding Corporate Rules), doivent être validés par la CNIL et les autres autorités compétentes concernées.

Pour les entreprises internationales, le respect de la législation concernant les données individuelles est fort complexe, car chaque pays a édicté ses propres lois. Certains pays, notamment en Asie comme Singapour, possèdent des réglementations extrêmement contraignantes pour les entreprises, qu’il est indispensable de connaître et de respecter.

Législation du travail : chaque détail compte

En France, la législation du travail est particulièrement contraignante, notamment en ce qui concerne la durée du travail, les astreintes, le travail de nuit et de week-end, et la gestion de la sous-traitance. Chaque DSI doit être parfaitement conscient de ces contraintes, en particulier lors d’incidents majeurs d’exploitation, et lors de la mise en place de systèmes. En effet, dans ces deux cas notamment, une intervention des équipes peut être nécessaire durant plusieurs jours consécutifs, incluant des nuits et un week-end.

Un point d’attention particulier doit être porté à la gestion des prestataires. Seules les sociétés d’intérim ont le droit en France de vendre des prestations en régie, dont le prix est fixé en hommes / jour, sous peine de « délit de prêt de main-d’œuvre illicite » ou de « délit de marchandage ».

Pour les prestations achetées, les contrats, bons de commande et factures, doivent donc bien préciser que le client achète des prestations et non des hommes/jour. De même, en aucun cas un prestataire externe ne doit pouvoir être assimilé à un salarié de l’entreprise cliente. Pour cela, une quinzaine de précautions élémentaires doive être prise : le prestataire ne doit pas disposer du même badge qu’un salarié, être inscrit nominativement sur le répertoire téléphonique de l’entreprise, etc.

Conservation des données : jongler avec la diversité des durées

La loi française prévoit pour chaque type de données (contrat, données commerciales, données comptables, données concernant les salariés, les clients, les opérations de douane, la messagerie d’entreprise, etc.) des durées de conservation des données maximum et/ou minimum.

Les contrats, données comptables ou données de paie, par exemple, ont une durée minimum de conservation imposée par la loi. Les données concernant les clients et prospects ont, elles, une durée de conservation maximum autorisée. Certaines données ont à la fois une durée minimum et une durée maximum de conservation imposée. C’est le cas par exemple des données de comptabilisation des horaires des salariés, qui doivent être conservées un an minimum et cinq ans au maximum.

Dans ce contexte, le DSI a l’obligation de fournir à ses équipes un tableau précis décrivant pour chaque type de données les règles d’archivage qu’il demande : procédure d’archivage, procédure d’effacement, durées maximum et minimum de conservation… Le plus surprenant est qu’un tel tableau n’est publié par aucun organisme officiel. Seuls quelques entreprises et cabinets de conseil en possèdent un à jour.

Chartes informatiques : indispensable pour réguler les usages

La diffusion, au sein des entreprises, de chartes informatiques, manuels de bon usage des outils informatiques, ou autre document de ce type, peut se révéler utile dans beaucoup de cas.

Pour pouvoir être juridiquement « opposable » à un salarié indélicat, qui abuserait, par exemple, de l’usage des outils d’entreprise à des fins personnelles, il est nécessaire que ce document soit validé par le comité d’entreprise, intégré au règlement intérieur et porté à la connaissance des salariés. Indépendamment d’un usage juridique, la charte informatique peut être très utile pour rappeler les règles de bonne conduite et les responsabilités de chacun.

La charte peut être l’occasion, par exemple, de rappeler les règles de bon usage de la messagerie : ne pas envoyer de message à un collaborateur entre le vendredi à 19 heures et le lundi à 8 heures, limiter les destinataires des messages strictement aux personnes concernés et ne pas utiliser les messages pour « se couvrir » auprès de sa hiérarchie, limiter l’utilisation de la fonction « répondre à tous »…

Dans le cas du BYOD (Bring Your Own Device), le rappel des responsabilités de chacun n’est pas inutile. Lorsqu’un salarié, par exemple, utilise son propre smartphone ou PC pour recevoir ses messages professionnels, certaines règles doivent être clarifiées, car beaucoup de questions peuvent se poser comme par exemple : à qui appartiennent les données enregistrées sur le terminal du salarié ? Quels outils de sécurité peuvent être imposés par l’entreprise et quel droit de regard l’entreprise a-t-elle sur le matériel du salarié ?

Les quelques exemples ci-dessus n’ont pas pour objectif d’inquiéter, mais ont pour unique objet de montrer que le domaine du juridique informatique est très étendu. Lors de la revue annuelle des risques informatiques, et de la formalisation de la cartographie des risques IT, un chapitre doit être consacré aux risques juridiques.

On ne saurait trop recommander aux DSI de procéder régulièrement (tous les trois ans par exemple) à une revue juridique complète, avec l’assistance d’un cabinet ou d’un avocat spécialisé.

Pascal de La Faye, consultant en stratégie et gouvernance des systèmes d’information, a été DSI de groupes internationaux pendant 27 ans et expert auprès des tribunaux. www.delafaye.eu